AhnLab Security Emergency response Center(ASEC)은 악성 바로가기(*.lnk) 파일이 공공기관을 사칭하여 유포되고 있음을 확인하였다. 공격자는 보안 메일로 위장한 악성 스크립트(HTML) 파일을 메일에 첨부하여 유포하는 것으로 보인다. 주로 통일, 안보 관계자를 대상으로 하며 정상 문서처럼 보이기 위해 사례비 지급에 관한 내용으로 위장한 것이 특징이다. 악성코드의 동작 방식 및 C2 형식이 이전 공유한 게시글[1] [2]과 유사한 것으로 보아 동일한 공격자로 추정된다.
해당 유형은 사용자 정보를 유출 및 추가 악성코드를 다운로드하며 간략한 동작 과정은 다음과 같다.
메일에 첨부된 HTML 파일 실행 시 다음과 같이 보안메일을 위장한 페이지 창이 생성된다. 메일에는 실제 보안 메일처럼 보이기 위해 비밀번호를 함께 전송했을 것으로 보이며, 실제로는 해당 칸을 입력하지 않고 확인 버튼을 클릭하여도 본문 내용을 확인할 수 있다.
본문에는 공공기관을 사칭한 내용이 작성되어 있고 관련된 제목의 첨부 파일이 존재한다.
각 압축 파일에는 사례비 양식의 정상 한글 문서와 함께 악성 바로가기(LNK) 파일이 포함되어 있다.
확인된 악성 LNK의 파일명은 다음과 같다.
| 파일명 |
|---|
| 202310 이** 교수님 통일부 브라운백 런치 중국 문제 관련 강의의뢰서(초안).hwp.lnk |
| 231025(통일부 통일정책실)윤석열 정부의 대북 정책 관련 1.5트랙 전문가 간담회 기획안.hwp.lnk |
| 231025 (통일부 통일정책실)윤석열 정부의 대북 정책 관련 1.5트랙 전문가 간담회(비공개) 기획안.hwp.lnk |
| 202311 최** 교수님 통일부 브라운백 런치 미중 문제 관련 강의의뢰서(초안).hwp.lnk |
LNK 파일 실행 시 정상 한글 문서가 실행되어 사용자는 악성 행위가 수행되고 있음을 알아차리기 어렵다.
[표1]의 ‘202310 이** 교수님 통일부 브라운백 런치 중국 문제 관련 강의의뢰서(초안).hwp.lnk’ 실행 시 TEMP 폴더에 정상 한글 문서와 함께 악성 VBS 스크립트 파일을 생성 및 실행한다.
VBS 코드는 난독화되어 있으며 복호화 시 레지스트리 변경 및 외부 URL에 접속하여 추가 스크립트를 실행시키는 코드가 확인된다.
- 접속 URL : hxxp://iso****.co[.]kr/adm/img/up/down0/list.php?query=1
[표1]에서 확인된 LNK 파일 중 ‘202311 최** 교수님 통일부 브라운백 런치 미중 문제 관련 강의의뢰서(초안).hwp.lnk’ 파일의 경우 hxxp://m****[.]com/pg/adm/tdr/upi/down0/r_enc.bin 에서 TutRAT 악성코드를 다운로드하여 fileless 형태로 실행한다. 공격자는 이를 활용하여 Base64로 인코딩된 데이터를 디코딩하여 각각 %temp%\client.ps1와 %tamp%\\version103.vbs로 저장한다.
이후 server IP를 공격자 주소로 설정한 후 ‘Main’ method를 실행하여 공격자로부터 명령을 받아 키로깅, 브라우저 계정 정보 탈취, 화면 캡처 등의 악성 행위가 수행될 수 있다.
- C&C : 165.154.230[.]24:8020
생성된 각 파일의 기능은 다음과 같다.
| 파일명 | 기능 |
|---|---|
| client.ps1 | hxxp://ky****ek[.]com/js/sub/aos/dull/down1/r_enc.bin 에서 추가 악성코드 다운로드 및 실행 |
| version103.vbs | hxxp://ky****ek[.]com/js/sub/aos/dull/down1/list.php?query=1에서 추가 스크립트 코드 다운로드 및 실행 |
version103.vbs에서 확인된 hxxp://ky****ek[.]com/js/sub/aos/dull/down1/list.php?query=1 접속 시 추가 한글 문서를 다운로드하고 이전에 확인된 것과 동일하게 사용자 정보를 수집하여 hxxp://ky****ek[.]com/js/sub/aos/dull/down1/show.php로 전송한다.
해당 유형의 경우 아래와 같은 파일명으로도 유포되는 것으로 확인되어 관련 종사자들의 주의가 필요하다.
| 파일명 |
|---|
| 외신_뉴스_채널_서면인터뷰질의서_변** 교수님(북-러_정상회담관련).hwp |
| 202311_박**박사님_통일부_브라운백런치_중국문제관련_강의의뢰서.hwp |
| 202310_조**박사님_통일부_브라운백런치_한일문제관련_강의의뢰서.hwp |
| 202310_안**대사님_통일부_브라운백런치_미국문제관련_강의의뢰서.hwp |
[파일 진단]
Dropper/LNK.Agent (2023.09.07.02)
LNK/Runner.S1 (2019.04.25.00)
Trojan/LNK.PowerShell (2023.11.01.00)
Trojan/VBS.Obfuscated (2023.11.01.00)
Dropper/Script.Generic (2023.11.01.02)
Downloader/VBS.Agent (2023.11.09.00)
[IOC]
MD5
-lnk
b70bc31b537caf411f97a991d8292c5a
64dee04b6e6404c14d10971adf35c3a7
eb614c99614c3365bdc926a73ef7a492
fb5aec165279015f17b29f9f2c730976
-html
de7cd0de5372e7801dab5aafd9c19148
d00aa4b1a3cd9373d49c023580711170
209ac4185dfc1e4d72c035ecb7f98eac
-script
5E5A87D0034E80E6B86A64387779DC2E
40b7c3bced2975d70359a07c4f110f18
0040aa9762c2534ac44d9a6ae7024d15
C2
165.154.230[.]24:8020
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보